171209 逆向-JarvisOJ(病毒数据分析)(3)

1625-5 王子昂 总结《2017年12月9日》 【连续第435天总结】
A. JarvisOJ-Re-病毒数据分析(3)
B.
动态调试发现tea前后内容如下
key:

29 23 BE 84 E1 6C D6 AE 87 EF 80 7C B0 FF 12 D2

明文:

E4 3B 05 00 62 00 75 00

buffer:

C0 00 67 02 D0 0F 67 02

密文:

38 21 46 A8 C9 02 F1 02

详细分析了一下算法
171209 逆向-JarvisOJ(病毒数据分析)(3)_第1张图片

大体上是先对明文的前8个字节进行TEA加密,结果与buff进行异或
然后结果与后8个字节的明文进行异或,将结果再次进行TEA加密
加密结果再与后8个字节的明文进行异或
如此循环

buff作为IV向量来扰动整个加密,因此应该很难还原才对

没看出来WP中的tea_encrypted_data是怎么来的……

自己找了好几个C++的TEA算法实现依次尝试,都没有得到如期的结果……
明天直接复制WP的代码试试能否还原出源文件,然后再一步一步逆推吧

这个题目一定要攻克=A=

C. 明日计划
JarvisOJ

你可能感兴趣的:(CTF)